Организационные основы защиты информации на предприятии

разграничение доступа  к ресурсам КС;

планирование мероприятий;

разработка документации;

воспитание и обучение обслуживающего персонала и пользователей;

сертификация средств  защиты информации;

лицензирование деятельности по защите информации;

аттестация объектов защиты;

совершенствование системы защиты информации;

оценка эффективности  функционирования системы защи- ты информации;

контроль выполнения установленных правил работы в КС.  

 Организационные  методы являются стержнем комплексной  системы защиты информации в  КС. Только с помощью этих методов  возможно объединение на правовой  основе технических, программных  и криптографических средств  защиты информации в единую  комплексную систему. Конкретные  организационные методы защиты  информации будут приводиться  при рассмотрении парирования  угроз безопасности информации. Наибольшее внимание организационным  мероприятиям уделяется при изложении  вопросов построения и организации  функционирования комплексной системы  защиты информации.

Законы и нормативные  акты исполняются только в том  случае, если они подкрепляются организаторской  деятельностью соответствующих  структур, создаваемых в государстве, в ведомствах, учреждениях и организациях. При рассмотрении вопросов безопасности информации такая деятельность относится  к организационным методам защиты информации. Организационные методы защиты информации включают меры, мероприятия  и действия, которые должны осуществлять должностные лица в процессе создания и эксплуатации КС для обеспечения  заданного уровня безопасности информации. 

 Организационные  методы защиты информации тесно  связаны с правовым регулированием  в области безопасности информации. В соответствии с законами  и нормативными актами в министерствах,  ведомствах, на предприятиях (независимо  от форм собственности) для  защиты информации создаются  специальные службы безопасности (на практике они могут называться  и иначе). Эти службы подчиняются,  как правило, руководству учреждения. Руководители служб организуют  создание и функционирование  систем защиты информации. На  организационном уровне решаются  следующие задачи обеспечения  безопасности информации в КС:  

 • организация  работ по разработке системы  защиты инфор- мации;

ограничение доступа  на объект и к ресурсам КС;

разграничение доступа  к ресурсам КС;

планирование мероприятий;

разработка документации;

воспитание и обучение обслуживающего персонала и пользователей;

сертификация средств  защиты информации;

лицензирование деятельности по защите информации;

аттестация объектов защиты;

совершенствование системы защиты информации;

оценка эффективности  функционирования системы защи- ты информации;

контроль выполнения установленных правил работы в КС.  

 Организационные  методы являются стержнем комплексной  системы защиты информации в  КС. Только с помощью этих методов  возможно объединение на правовой  основе технических, программных  и криптографических средств  защиты информации в единую  комплексную систему. Конкретные  организационные методы защиты  информации будут приводиться  при рассмотрении парирования  угроз безопасности информации. Наибольшее внимание организационным  мероприятиям уделяется при изложении  вопросов построения и организации  функционирования комплексной системы  защиты информации.

В современных ЭИС используются информационные технологии, обладающие следующими основными свойствами:

содержат информацию различной степени конфиденциальности;

при передаче данных имеют криптографическую защиту информации различной степени конфиденциальности;

отражают иерархичность  полномочий субъектов, открывают доступ к программам, к АРМ, файлам-серверам, каналам связи и информации системы; необходимость изменения этих полномочий;

организует обработку  информации в диалоговом режиме, в  режиме разделения времени между  пользователями и в режиме реального  времени;

обеспечивают управление потоками информации как в локальных сетях, так и при передаче по каналам связи на далекие расстояния;

регистрируют и  учитывают потоки несанкционированного доступа, события в системе и  документах, выводимых на печать;

обеспечивают целостность  программного продукта и информации в ЭИС;

устанавливают наличие  средств восстановления системы  защиты информации, а также обязательный учет магнитных носителей;

создают условия  для физической охраны средств вычислительной техники м магнитных носителей.  

 Организационные  мероприятия и процедуры, используемые  для решения проблемы безопасности  информации, решаются на всех  этапах проектирования и в  процессе эксплуатации ЭИС. Существенное  значение при проектировании  придается предпроектному обследованию  объекта. На этой стадии проводятся  следующие действия:

устанавливается наличие  конфиденциальной информации в разрабатываемой  ЭИС, оцениваются уровень конфиденциальности и объемы такой информации;

определяются режимы обработки информации (диалоговый, телеобработки и реального времени), состав комплекса технических средств, общесистемные программные средства и т.д.

анализируется возможность  использования имеющихся на рынке  сертификационных средств защиты информации;

определяет степень  участия персонала, функциональных служб, научных и вспомогательных  работников объекта автоматизации  в обработке информации, характер их взаимодействия между собой и  со службой безопасности;

вводятся мероприятия  по обеспечению режима секретности  на стадии разработки системы.  

 Среди охранных  мероприятий по обеспечению безопасности  информации важное место принадлежит  охране объекта. При этом устанавливаются  соответствующие посты охраны, технические  средства, предотвращающие или существенно  затрудняющие хищение средств  вычислительной техники, информационных  носителей, а также исключающие  несанкционированный доступ к  системе и линиям связи.  

 Функционирование  системы защиты информации от  несанкционированного доступа как  комплекса программно-технических  средств и организационных решений  предусматривает: 

учет, хранение и  выдачу пользователям информационных носителей, паролей, ключей;

ведение служебной  информации (генерация паролей, ключей, сопровождение правил разграничения  доступа);

оперативный контроль за функционированием систем защиты секретной информации;

контроль соответствия общесистемной программной среды  эталону;

приемку новых программных  средств;

контроль за ходом технологического процесса обработки финансово-кредитной информации путем регистрации анализа действий пользователей.  

 Создание базовой  системы защиты информации основываются  на следующих принципах: 

Комплексный подход к построению системы защиты при  ведущей роли организационных мероприятий. Он означает оптимальное сочетание  программных аппаратных средств  и организационных мер защиты, подтвержденное практикой создания отечественных и зарубежных средств  систем защиты.

Разделение и минимизация  полномочий по доступу к обрабатываемой информации и процедурам обработки. Пользователям предоставляется  минимум строго определенных полномочий, достаточных для успешного выполнения ими своих служебных обязанностей, с точки зрения автоматизированной обработки доступной им конфиденциальной информации без ее предварительной  регистрации.

Полнота контроля и  регистрации попыток несанкционированного доступа, т.е. необходимость точного  установления идентичности каждого  пользователя и протоколирования его  действий для проведения возможного расследования.

Обеспечение надежности системы защиты, т. е. невозможность  снижения ее уровня при возникновении  в системе сбоев, отказов, преднамеренных действий нарушителя или непреднамеренных ошибок пользователей и обслуживающего персонала.

Обеспечение контроля за функционированием системы защиты, т.е. создание средств и методов контроля работоспособности механизмов защиты.

«Прозрачность» системы  защиты информации для общего, прикладного  программного обеспечения и пользователей  АИТ.

Экономическая целесообразность использования системы защиты. Он выражается в том, что стоимость  разработки и эксплуатации систем защиты информации должна быть меньше стоимости  возможного ущерба, наносимого объекту  в случае разработки и эксплуатации АИТ без системы защиты информации.  

 Проблема создания  системы защиты информации включает  взаимодополняющие задачи:

разработку системы  защиты информации (ее синтез);

оценку разработанной  системы защиты информации.  

 Вторая задача  решается путем анализа технических  характеристик защиты информации  с целью установления соответствия  ее требованиям, предъявляемым  к таким системам.  

К методам обеспечения  безопасности относятся:  

 Препятствие - метод физического преграждения  пути злоумышленнику к защищаемой  информации (к аппаратуре, носителям  информации и т.д.).  

 Управление доступом - метод защиты информации с  помощью регулирования использования  всех ресурсов компьютерной информационной  системы банковской деятельностью  (элементов баз данных, программных  и технических средств). Управление  доступом включает следующее  функции защиты:

 идентификацию  пользователей, персонала и ресурсов  системы (присвоение каждому объекту  персонального идентификатора);

 – опознание (установление подлинности) объекта или субъекта по предъявленному ему идентификатору;

 – проверку полномочий (соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

 – разрешение и создание условий работы в пределах установленного регламента;

 – регистрацию (протоколирование) обращений к защищаемым ресурсам;

 – реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытке несанкционированных действий.  

 Массировка - метод  защиты информации путем ее  криптографического закрытия. При  передаче информации по каналам  большой протяженности данный  метод является наиболее надежным.  

 Регламентация  - метод защиты информации, создающий  такие условия автоматизированной  обработки, хранения и передачи  защищаемой информации, при которых  возможности несанкционированного  доступа к ней сводилась бы  к минимуму.  

 Побуждение - метод  защиты, побуждающий пользователя  и персонал системы не разрушать  установленные порядки за счет  соблюдения сложившихся моральных  и этических норм.  

 Принуждение- метод защиты, когда пользователи и персонал системы вынуждены соблюдать правила обработки и использования защищенной информации под угрозой материальной, административной или уголовной ответственности.  

 Рассмотренные  методы реализуются на практике  за счет применения различных  средств защиты.  

 К основным  средствам защиты относятся следующие.  

 Технические средства  представляют электрические, электромеханические  и электронные устройства. Вся  совокупность указанных средств  делится на аппаратные и физические.